本文列舉了第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的“七宗罪”，正是這些行為給企業(yè)帶來(lái)了巨大的風(fēng)險(xiǎn)。

***宗罪：認(rèn)為風(fēng)險(xiǎn)可以被外包

很多企業(yè)認(rèn)為，使用第三方產(chǎn)品或服務(wù)產(chǎn)生的網(wǎng)絡(luò)風(fēng)險(xiǎn)，應(yīng)該由供應(yīng)商來(lái)進(jìn)行管理及承擔(dān)，這是絕對(duì)錯(cuò)誤的。監(jiān)管機(jī)構(gòu)一直明確表示，你可以外包系統(tǒng)和服務(wù)，但你不能外包風(fēng)險(xiǎn)。2008年，聯(lián)邦存款保險(xiǎn)公司對(duì)供應(yīng)商風(fēng)險(xiǎn)管理做了如下規(guī)定：一個(gè)機(jī)構(gòu)的董事會(huì)和高級(jí)領(lǐng)導(dǎo)層應(yīng)負(fù)責(zé)管理通過(guò)第三方進(jìn)行的活動(dòng)，并識(shí)別和控制由此帶來(lái)的風(fēng)險(xiǎn)。美國(guó)衛(wèi)生與公眾服務(wù)部、歐盟、美國(guó)貨幣監(jiān)理署等監(jiān)管機(jī)構(gòu)也發(fā)布過(guò)類(lèi)似的指南。

即使您與供應(yīng)商的合約中有關(guān)于數(shù)據(jù)違約相關(guān)的條款，或許在安全事件發(fā)生后，可能獲得一定的賠償，但財(cái)務(wù)并不是唯一的風(fēng)險(xiǎn)。監(jiān)管機(jī)構(gòu)的罰款、企業(yè)聲譽(yù)的損失、市值的蒸發(fā)，更加可怕。

第二宗罪：與第三方的合約中沒(méi)有必要的安全條款

與第三方合約中的信息安全條款，建議至少包括：

• 對(duì)第三方進(jìn)行審計(jì)的權(quán)利;
• 數(shù)據(jù)泄露通知;
• 解決已識(shí)別漏洞的補(bǔ)救要求。

若是企業(yè)在解決第三方風(fēng)險(xiǎn)問(wèn)題時(shí)沒(méi)有審計(jì)權(quán)，即無(wú)法有效的實(shí)現(xiàn)風(fēng)險(xiǎn)的評(píng)估。如果沒(méi)有補(bǔ)救要求，識(shí)別出的風(fēng)險(xiǎn)也可能無(wú)法得到解決。

在與第三方簽訂的服務(wù)協(xié)議中使用經(jīng)法律批準(zhǔn)的、標(biāo)準(zhǔn)化的信息安全附錄，確保公司對(duì)需要采取糾正措施以保護(hù)其客戶、資產(chǎn)和聲譽(yù)具有可見(jiàn)性和追索權(quán)。即使您企業(yè)目前仍沒(méi)有積極地管理供應(yīng)商風(fēng)險(xiǎn)，也需要將您想要的風(fēng)險(xiǎn)需求放入合同中。這樣做實(shí)際上將使供應(yīng)商承擔(dān)一些***的安全性需求，并為將來(lái)評(píng)估他們的安全性提供機(jī)會(huì)。

第三宗罪：認(rèn)為第三方風(fēng)險(xiǎn)管理與業(yè)務(wù)無(wú)關(guān)

業(yè)務(wù)運(yùn)行在由內(nèi)部人員和第三方管理的復(fù)雜系統(tǒng)之上，對(duì)第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)的管理即對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的管理，這也是我們的初衷。而在實(shí)現(xiàn)風(fēng)險(xiǎn)管理的過(guò)程中，技術(shù)同業(yè)務(wù)的協(xié)作必不可少：

• 根據(jù)企業(yè)的信息安全標(biāo)準(zhǔn)建立供應(yīng)商績(jī)效考核;
• 了解每個(gè)供應(yīng)商關(guān)系的業(yè)務(wù)負(fù)責(zé)人;
• 定期向每個(gè)業(yè)務(wù)負(fù)責(zé)人報(bào)告供應(yīng)商的風(fēng)險(xiǎn)表現(xiàn)，并要求每個(gè)供應(yīng)商對(duì)滿足績(jī)效有足夠的響應(yīng)。

實(shí)現(xiàn)良好的第三方風(fēng)險(xiǎn)結(jié)果還需要業(yè)務(wù)支持“升級(jí)路徑”，通過(guò)該路徑，我們可以清晰的看到哪些供應(yīng)商具備什么樣的問(wèn)題，在該路徑中，表現(xiàn)不佳的供應(yīng)商被放在“觀察列表”上，若是沒(méi)有及時(shí)的解決問(wèn)題，最終將被放在“禁止”列表上，以激勵(lì)供應(yīng)商做好風(fēng)險(xiǎn)管理。

第四宗罪：不知道您的供應(yīng)商是誰(shuí)

在進(jìn)行供應(yīng)商網(wǎng)絡(luò)風(fēng)險(xiǎn)管理時(shí)，您只能管理已知供應(yīng)商的風(fēng)險(xiǎn)。您掌握的供應(yīng)商名單越長(zhǎng)，管理覆蓋到的供應(yīng)商就越多，風(fēng)險(xiǎn)也越小。

對(duì)于新的供應(yīng)商風(fēng)險(xiǎn)管理項(xiàng)目，建議分階段覆蓋到供應(yīng)商，可以從近期剛開(kāi)始合作的供應(yīng)商開(kāi)始，而不是試圖一次納入所有供應(yīng)商，現(xiàn)有供應(yīng)商可以通過(guò)合約更新的方式逐步覆蓋。這樣更利于風(fēng)險(xiǎn)管理項(xiàng)目的展開(kāi)，新供應(yīng)商最有動(dòng)力遵從您的風(fēng)險(xiǎn)管理流程，因?yàn)樗麄兿ＭA得您的業(yè)務(wù)。

可能需要幾年的時(shí)間，通過(guò)管理新供應(yīng)商和現(xiàn)有供應(yīng)商的合同更新，您將覆蓋絕大多數(shù)供應(yīng)商。接下來(lái)的挑戰(zhàn)是找出那些“藏匿”起來(lái)的供應(yīng)商。您可以通過(guò)企業(yè)內(nèi)的配合搜尋供應(yīng)商：比如每月對(duì)應(yīng)付賬款數(shù)據(jù)與供應(yīng)商風(fēng)險(xiǎn)管理數(shù)據(jù)進(jìn)行核對(duì)，任何未在風(fēng)險(xiǎn)管理數(shù)據(jù)庫(kù)中出現(xiàn)的供應(yīng)商都會(huì)被識(shí)別。

第五宗罪：信任，不去驗(yàn)證

“信任，但要驗(yàn)證”的原則在管理第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí)非常的適用。

在過(guò)去，供應(yīng)商通常以高分通過(guò)基于問(wèn)卷的評(píng)估。您可以去查看現(xiàn)有的供應(yīng)商調(diào)查問(wèn)卷，似乎所有的正面問(wèn)題都會(huì)被肯定、似乎所有安全控制都正確的執(zhí)行。我們能否通過(guò)這些積極的證明得出目前風(fēng)險(xiǎn)很小、可控的結(jié)論?

良好的風(fēng)險(xiǎn)管理需要準(zhǔn)確、全面地識(shí)別風(fēng)險(xiǎn)。供應(yīng)商的安全性認(rèn)證可以幫助您了解他們?yōu)閷?shí)現(xiàn)良好的風(fēng)險(xiǎn)結(jié)果所做的投資，但這只是所需信息的一半。

第六宗罪：不評(píng)估第三方風(fēng)險(xiǎn)管理項(xiàng)目進(jìn)行后的效果

根據(jù)2017年對(duì)企業(yè)第三方風(fēng)險(xiǎn)管理實(shí)踐的研究，僅有37%的企業(yè)會(huì)在執(zhí)行第三方風(fēng)險(xiǎn)管理的某些措施后，會(huì)進(jìn)行效果評(píng)估。這一點(diǎn)很讓人驚訝，這就像一個(gè)盈利企業(yè)不向投資者報(bào)告其財(cái)務(wù)業(yè)績(jī)。長(zhǎng)此以往，第三方風(fēng)險(xiǎn)管理的價(jià)值無(wú)法顯現(xiàn)，第三方風(fēng)險(xiǎn)管理就會(huì)變成監(jiān)管機(jī)構(gòu)需要的一個(gè)復(fù)選框，僅是在做表面文章。

目前企業(yè)的第三方風(fēng)險(xiǎn)管理報(bào)告中，通常包括:

• 某供應(yīng)商評(píng)估固有風(fēng)險(xiǎn)的評(píng)分
• 供應(yīng)商的分類(lèi)評(píng)級(jí)(基于固有風(fēng)險(xiǎn)，類(lèi)似“滿意”、“有待提高”、“無(wú)法接受”)
• 敏感數(shù)據(jù)風(fēng)險(xiǎn)、交易風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、經(jīng)營(yíng)風(fēng)險(xiǎn)等維度固有風(fēng)險(xiǎn)的種類(lèi)和評(píng)分
• 按程序規(guī)范進(jìn)行過(guò)評(píng)審的供應(yīng)商百分比
• 供應(yīng)商對(duì)風(fēng)險(xiǎn)評(píng)估的響應(yīng)時(shí)間
• 供應(yīng)商剩余風(fēng)險(xiǎn)的分布
• 對(duì)于無(wú)法承受其風(fēng)險(xiǎn)的供應(yīng)商名單

但缺少了最重要的管理效果評(píng)估，適當(dāng)?shù)亩攘繕?biāo)準(zhǔn)可以加強(qiáng)企業(yè)管理第三方風(fēng)險(xiǎn)的文化，這種文化對(duì)第三方的影響能給業(yè)務(wù)更好的支持，同時(shí)它們還能夠提升供應(yīng)商響應(yīng)的積極性、提升風(fēng)險(xiǎn)管理效果，在某些情況下為企業(yè)接受某些風(fēng)險(xiǎn)做了充足的準(zhǔn)備。

第七宗罪：將供應(yīng)商風(fēng)險(xiǎn)管理限制為定期評(píng)估

通過(guò)定期評(píng)估管理供應(yīng)商網(wǎng)絡(luò)風(fēng)險(xiǎn)是不夠的。即使每年進(jìn)行一到兩次評(píng)估，評(píng)估之間也會(huì)發(fā)生很多事情。例如供應(yīng)商數(shù)據(jù)泄露可能會(huì)在不知情的情況下危及您的數(shù)據(jù)，可能會(huì)因?yàn)檠舆t數(shù)據(jù)外泄通知而招致監(jiān)管機(jī)構(gòu)的處罰(GDPR關(guān)于數(shù)據(jù)外泄通告的要求：組織在發(fā)生數(shù)據(jù)外泄時(shí)必須在72小時(shí)內(nèi)，即刻通報(bào)給監(jiān)管機(jī)構(gòu)。并且，若外泄會(huì)給個(gè)人帶來(lái)風(fēng)險(xiǎn)，也應(yīng)該及時(shí)通知當(dāng)事人)。

【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文